日々発生しているセキュリティ事故
企業における情報漏洩などのトラブルは日々ニュースになっており
セキュリティ事故(インシデント)まとめサイトを見ると、ほぼ毎日発生していることがわかります
セキュリティ対策をした方がいい気はする一方、
具体的な行動をとることはかなり難しいのが現実です
その理由として大きいのは以下2点だと考えています
・現状、特に問題が起こっていない
・未来のセキュリティリスクなんか考えている暇はない(お金面での余裕もない)
セキュリティは直接お金を生み出さない、守りの投資になります
特に人的リソースが不足しがちな中小企業においては
できれば考えたくないし、何もしたくないのが本音だと思います
本記事では、中小企業がどの程度セキュリティ対策を行うべきかについて記述します
セキュリティ対応は色々面倒
人間は現在に近いほど価値を感じ、未来になればなるほどのことは評価が小さくなる性質があり、
現在志向バイアス(参考リンク)と呼ばれています
そのため、本当は対応した方がいいんだろうなぁ。。。と感じている場合でも
毎日の業務を優先してしまう、ということになりがちです
大企業であればセキュリティの専門チームが存在し、
セキュリティポリシーの策定や社内環境の構築などに注力できるケースが多いですが
中小企業の場合は人員リソースの余裕が無いケースが多く、ますます対応が難しい状態になります
セキュリティのリスクは大きい
セキュリティ事故は企業に深刻なダメージを与えることもあります
機密情報が漏洩した場合は、漏洩範囲の特定や社外への説明に
従業員のPCが乗っ取られたり、使えなくなったりした場合は業務の復旧に多大な労力がかかります
社会的な信用を失うことにより、結果的に倒産に追い込まれているケースもあります
どの程度のセキュリティ対策が必要か
セキュリティ事故のダメージが大きいことはなんとなくわかる、
しかし具体的に何を守ればいいのかわからない、というお客様が多いです
セキュリティ対策を行う上での基本的な考え方として、
攻撃者は最もセキュリティの弱い企業から狙う、というものがあります
そのため他社と比較して少しセキュリティが高い状態を保つことができれば、
かなり攻撃される可能性が下がることになります
これらを踏まえて、守るべきもののみを守る、最低限のセキュリティレベルを目指すべきと考えます
攻撃対象の企業に合わせてメールなどを送る標的型攻撃が流行中しており
非常に大きな被害を出しています
しかし標的型攻撃は性質上、実施にあたって下調べのためのコストがかかるため、
大企業が狙われる可能性が高いです
そのため中小企業では標的型攻撃を意識する必要性は薄く、
防御のための高度なセキュリティ機器を購入する必要はあまりありません
重要な点は、よくある普通のセキュリティ対策を、普通に実施する、ということです
具体的な最低限のセキュリティ対策
まず実施すべきセキュリティ対策は以下の通りです
1.OS(Windowsなど)を最新版に更新する
2.ウイルス対策ソフトを導入する
3.パスワードを机周りにはりつけない(生体認証などを取り入れる)
4.各データに適切権限設定がなされているか随時チェック (共有、外部ストレージなど)
インターネット黎明期から言われている基本的な対策ばかりですが、今も結局重要です
上に記述した通り、高度な対策は必要ありません
普通のセキュリティ対策ばかりではあるのですが、
実際の現場で、全てを実現していくのはかなり難しいです
例えばパスワードポリシーを厳しくしすぎると、
付箋にパスワードを書いてパソコンに貼り付ける人がでてきたりします
従業員のITスキルなど、各企業の状況に合わせて、
具体的にどのようにセキュリティ対策を実施していくかを考えることが重要です
どのウイルスソフトが適しているのか、どのファイル共有システムが適しているのかなど
検討事項はかなり多く、難しいことも多いです
そもそも追加のIT投資は不要で、従業員のセキュリティ意識を高めるのみでOKな場合もあります
各種最新情報の収集と合わせて、各企業に最適なIT環境を作っていくことが
まさにITコンサルタントの中核となる役割です。
提示するだけではなく、従業員の方々が使えるようになるまで
サポートさせていただきますので、もしお悩みでしたら一度ご相談ください。
